La Agencia Española de Protección de Datos ha impuesto una sanción de 10,04 millones de euros a AENA por el uso de sistemas de reconocimiento facial en varios aeropuertos españoles sin cumplir adecuadamente la normativa de protección de datos. Se trata de la sanción más alta impuesta en España en el ámbito de privacidad y protección de datos.
En concreto, la resolución del procedimiento sancionador considera que AENA ha desplegado sistemas de reconocimiento facial para el control de acceso de pasajeros en varios aeropuertos sin contar con una Evaluación de Impacto en Protección de Datos adecuada. Según la resolución, las distintas versiones de EIPD elaboradas por la entidad no contienen un análisis sistemático y suficiente de la idoneidad, necesidad y proporcionalidad del tratamiento de datos biométricos, ni de los riesgos específicos asociados al uso de esta tecnología.
La AEPD considera probado que el sistema permitía identificar unívocamente a los pasajeros mediante reconocimiento facial y que resultaba idóneo para esa finalidad, pero concluye que no era necesario ni proporcional, dado que existían métodos menos intrusivos —como la verificación documental tradicional— capaces de ofrecer niveles adecuados de seguridad. Además, el programa de identidad digital implicaba tratar y conservar más datos personales que el sistema previo de control, incluyendo plantillas biométricas y datos de documentos de identidad y tarjetas de embarque durante un periodo prolongado.
Por estos motivos, la Agencia aprecia una infracción del artículo 35 RGPD, relativa a la obligación de realizar una EIPD conforme a los requisitos del Reglamento, e impone a AENA una sanción administrativa de 10.043.002 euros, de acuerdo con el artículo 83.4.a) RGPD. La resolución también confirma la suspensión temporal de todo tratamiento biométrico de reconocimiento facial para el control de acceso de pasajeros en los aeropuertos gestionados por AENA, hasta que la entidad elabore una nueva EIPD que cumpla estrictamente con el estándar de necesidad y proporcionalidad exigido por el RGPD.
La multa constituye un hito en el control del uso de tecnologías de identificación en espacios públicos y marca un precedente relevante para la implantación de soluciones biométricas en toda Europa: los sistemas de IA y reconocimiento facial en transporte deberán demostrar que respetan el principio de proporcionalidad y no pueden convertirse en una herramienta de vigilancia masiva sin garantías.
Puede acceder a la resolución sancionadora aquí.
